Erstellt von - Uhr

OpenSSL: Sicherheitshinweis für mehrere IT-Schwachstellen

Für OpenSSL wurde ein Update für den IT-Sicherheitshinweis einer bekannten Schwachstelle veröffentlicht. Was betroffene User tun können, erfahren Sie hier.

Aktuelle IT-Sicherheitshinweise auf news.de (Symbolbild). (Foto) Suche
Aktuelle IT-Sicherheitshinweise auf news.de (Symbolbild). Bild: picture alliance/dpa | Lino Mirgeler

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 25.11.2024 ein Update zu einer am 01.11.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für OpenSSL veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme Appliance, CISCO Appliance, F5 Networks, Hardware Appliance, Juniper Appliance, Linux, MacOS X, UNIX und Windows sowie die Produkte SolarWinds Serv-U Managed File Transfer Server, Amazon Linux 2, IBM AIX, Red Hat Enterprise Linux, NetApp Data ONTAP, Ubuntu Linux, SUSE Linux, Oracle Linux, HPE Switch, Microsoft Windows Azure, Gentoo Linux, Broadcom Brocade Switch, Alcatel Lucent Enterprise OmniSwitch, Juniper JUNOS, Open Source OpenSSL, IBM MQ, Tenable Security Nessus, Open Source Node.js, Unify OpenScape UC Application, Lenovo Computer, IBM Spectrum Protect und AMD Radeon.

Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Oracle Linux Security Advisory ELSA-2024-12842 (Stand: 25.11.2024). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.

Mehrere Schwachstellen für OpenSSL - Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Base Score: 7,5
CVSS Temporal Score: 6,7
Remoteangriff: Ja

Zur Bewertung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser priorisieren zu können. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Der Schweregrad der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 7,5 als "mittel" eingeschätzt.

OpenSSL Bug: Auswirkungen eines IT-Angriffs

OpenSSL ist eine im Quelltext frei verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Transport Layer Security (TLS) implementiert.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in OpenSSL ausnutzen, um einen Denial of Service Zustand herbeizuführen und potenziell um beliebigen Programmcode auszuführen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2022-3602 und CVE-2022-3786.

Von der OpenSSL-Sicherheitslücke betroffene Systeme im Überblick

Betriebssysteme
Appliance, CISCO Appliance, F5 Networks, Hardware Appliance, Juniper Appliance, Linux, MacOS X, UNIX, Windows

Produkte
SolarWinds Serv-U Managed File Transfer Server 15.3.1 (cpe:/a:solarwinds:serv-u)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
IBM AIX (cpe:/o:ibm:aix)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
NetApp Data ONTAP (cpe:/a:netapp:data_ontap)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
HPE Switch (cpe:/h:hp:switch)
Microsoft Windows Azure (cpe:/a:microsoft:windows_azure)
Gentoo Linux (cpe:/o:gentoo:linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Broadcom Brocade Switch (cpe:/h:brocade:switch)
Alcatel Lucent Enterprise OmniSwitch (cpe:/h:alcatel-lucent:omniswitch)
Juniper JUNOS Evolved (cpe:/o:juniper:junos)
Open Source OpenSSL >=3.0.0 (cpe:/a:openssl:openssl)
Open Source OpenSSL >=3.0.0 (cpe:/a:openssl:openssl)
IBM MQ 9.3 LTS (cpe:/a:ibm:mq)
Open Source OpenSSL <3.0.7 (cpe:/a:openssl:openssl)
Open Source OpenSSL 3.0.7 (cpe:/a:openssl:openssl)
Tenable Security Nessus Agent 10.0.0-10.2.0 (cpe:/a:tenable:nessus)
Tenable Security Nessus 10.3.2 (cpe:/a:tenable:nessus)
Tenable Security Nessus <10.4.1 (cpe:/a:tenable:nessus)
Tenable Security Nessus 10.4.1 (cpe:/a:tenable:nessus)
Open Source Node.js <14.21.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js 14.21.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js <16.18.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js 16.18.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js <18.12.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js 18.12.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js <19.0.1 (cpe:/a:nodejs:nodejs)
Open Source Node.js 19.0.1 (cpe:/a:nodejs:nodejs)
Unify OpenScape UC Application >10.4.8.2 (cpe:/a:unify:openscape_uc_application)
Unify OpenScape UC Application 10.4.8.2 (cpe:/a:unify:openscape_uc_application)
Tenable Security Nessus <network monitor 6.1.1 (cpe:/a:tenable:nessus)
Tenable Security Nessus network monitor 6.1.1 (cpe:/a:tenable:nessus)
Lenovo Computer (cpe:/h:lenovo:computer)
IBM Spectrum Protect plus <10.1.14 (cpe:/a:ibm:spectrum_protect)
IBM Spectrum Protect plus 10.1.14 (cpe:/a:ibm:spectrum_protect)
AMD Radeon (cpe:/h:amd:radeon)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

  1. Anwender der betroffenen Anwendungen sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie diese zeitnah.
  2. Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
  3. Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann das herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.

Oracle Linux Security Advisory ELSA-2024-12842 vom 2024-11-25 (25.11.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12842.html

Oracle Linux Security Advisory ELSA-2024-12408 vom 2024-06-05 (04.06.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12408.html

Oracle Linux Security Advisory ELSA-2024-12409 vom 2024-06-04 (04.06.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12409.html

Oracle Linux Security Advisory ELSA-2024-23120 vom 2024-06-04 (04.06.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-23120.html

Oracle Linux Security Advisory ELSA-2024-20865 vom 2024-04-25 (24.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-20865.html

Oracle Linux Security Advisory ELSA-2024-12343 vom 2024-04-25 (24.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12343.html

Amazon Linux Security Advisory ALAS-2023-286 vom 2024-01-23 (22.01.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2023-286.html

HPE Securi+y Bulletin (13.08.2023)
Weitere Informationen finden Sie unter: https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-hpesbst04494en_us

AMD Security Bulletin AMD-SB-7001 vom 2023-08-09 (08.08.2023)
Weitere Informationen finden Sie unter: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7001.html

Lenovo Security Advisory LEN-106015 vom 2023-08-09 (08.08.2023)
Weitere Informationen finden Sie unter: https://support.lenovo.com/us/en/product_security/LEN-106015

IBM Security Bulletin 6999285 vom 2023-05-30 (30.05.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6999285

IBM Security Bulletin 6857295 vom 2023-01-24 (24.01.2023)
Weitere Informationen finden Sie unter: https://aix.software.ibm.com/aix/efixes/security/openssl_advisory37.asc

SUSE Security Update SUSE-SU-2022:4586-1 vom 2022-12-20 (20.12.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-December/013293.html

Oracle Linux Security Advisory ELSA-2022-10004 vom 2022-11-17 (17.11.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-10004.html

SolarWinds Trust Center Security Advisories (10.11.2022)
Weitere Informationen finden Sie unter: https://www.solarwinds.com/de/trust-center/security-advisories/cve-2022-3602-and-cve-2022-3786

Alcatel-Lucent Security Advisory (08.11.2022)
Weitere Informationen finden Sie unter: https://app.conversation.al-enterprise.com/e/er?s=138097979&lid=16028

Tenable Security Advisory TNS-2022-25 vom 2022-11-08 (08.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-25

Unify Security Advisory Report OBSO-2211-01 vom 2022-11-08 (08.11.2022)
Weitere Informationen finden Sie unter: https://networks.unify.com/security/advisories/OBSO-2211-01.pdf

Microsoft Leitfaden für Sicherheitsupdates vom 2022-11-02 (08.11.2022)
Weitere Informationen finden Sie unter: https://msrc.microsoft.com/update-guide

node.js Security Release (06.11.2022)
Weitere Informationen finden Sie unter: https://nodejs.org/en/blog/vulnerability/november-2022-security-releases/

IBM Security Bulletin 6837195 vom 2022-11-05 (06.11.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/blogs/psirt/security-bulletin-ibm-mq-advanced-message-security-on-ibm-i-platforms-is-affected-by-a-buffer-overflow-issue-in-openssl-cve-2022-3602-cve-2022-3786/

NetApp Security Advisory NTAP-20221102-0001 vom 2022-11-02 (02.11.2022)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20221102-0001/

Tenable Security Advisory TNS-2022-23 vom 2022-11-03 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-23

Tenable Security Advisory TNS-2022-22 vom 2022-11-02 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-22

Tenable Security Advisory TNS-2022-24 vom 2022-11-03 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.tenable.com/security/tns-2022-24

Red Hat Security Advisory RHSA-2022:7384 vom 2022-11-03 (02.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:7384

Tenable Security Advisory TNS-2022-22 vom 2022-11-02 (02.11.2022)
Weitere Informationen finden Sie unter: https://www.cybersecurity-help.cz/vdb/SB2022110251

PoC (01.11.2022)
Weitere Informationen finden Sie unter: https://github.com/micr0sh0ft/certscare-openssl3-exploit

Cisco Security Advisory cisco-sa-openssl-W9sdCc2a vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a

Juniper Security Bulletin vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://supportportal.juniper.net/s/article/2022-11-Out-of-Cycle-Security-Bulletin-High-severity-security-issues-resolved-in-OpenSSL-3-0-7-CVE-2022-3602-CVE-2022-3786

Ubuntu Security Notice USN-5710-1 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5710-1

Gentoo Linux Security Advisory GLSA-202211-01 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202211-01

SUSE Security Update SUSE-SU-2022:3843-1 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-November/012796.html

Oracle Linux Security Advisory ELSA-2022-7288 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-7288.html

Amazon Linux Security Advisory ALAS-2022-157 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2022/ALAS-2022-157.html

Red Hat Security Advisory RHSA-2022:7288 vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:7288

OpenSSL Security Advisory vom 2022-11-01 (01.11.2022)
Weitere Informationen finden Sie unter: https://www.openssl.org/news/secadv/20221101.txt

Versionshistorie dieses Sicherheitshinweises

Dies ist die 15. Version des vorliegenden IT-Sicherheitshinweises für OpenSSL. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.

01.11.2022 - Initiale Fassung
02.11.2022 - Neue Updates von Tenable, Red Hat und NetApp aufgenommen
06.11.2022 - Neue Updates von IBM aufgenommen
08.11.2022 - Neue Updates von Unify und Tenable aufgenommen
10.11.2022 - Neue Updates aufgenommen
17.11.2022 - Neue Updates von Oracle Linux aufgenommen
20.12.2022 - Neue Updates von SUSE aufgenommen
24.01.2023 - Neue Updates von IBM aufgenommen
30.05.2023 - Neue Updates von IBM aufgenommen
08.08.2023 - Neue Updates von LENOVO und AMD aufgenommen
13.08.2023 - Neue Updates von HP aufgenommen
22.01.2024 - Neue Updates von Amazon aufgenommen
24.04.2024 - Neue Updates von Oracle Linux aufgenommen
04.06.2024 - Neue Updates von Oracle Linux aufgenommen
25.11.2024 - Neue Updates von Oracle Linux aufgenommen

+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++

Folgen Sie News.de schon bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.

/roj/news.de

Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.

Bleiben Sie dran!

Wollen Sie wissen, wie das Thema weitergeht? Wir informieren Sie gerne.